統(tǒng)一認(rèn)證授權(quán)項(xiàng)目v3

1、目錄1.xxx介紹31.1.公司簡(jiǎn)介31.2.產(chǎn)品概述31.3.歷史經(jīng)驗(yàn)和成績(jī)42.AccessMatrix平臺(tái)總體架構(gòu)82.1.AccessMatrix產(chǎn)品架構(gòu)82.2.客戶統(tǒng)一生物認(rèn)證平臺(tái)基礎(chǔ)架構(gòu)102.3.分層分區(qū)管理和授權(quán)框架132.4.通用的企業(yè)安全架構(gòu)162.4.1.安全注冊(cè)表組件162.4.2.安全服務(wù)器組件172.4.3.管理接口182.4.4.安全連接182.5.產(chǎn)品數(shù)據(jù)全景圖192.6.開放接口全景圖212.7.通用的安全部署架構(gòu)222.7.1.多平臺(tái)支持232.7.2.商業(yè)益處242.7.3.技術(shù)益處242.8.產(chǎn)品優(yōu)勢(shì)242.8.1.可靠性242.8.2.靈活可擴(kuò)展的架

2、構(gòu)252.8.3.基于分層分區(qū)的分段管理和委托授權(quán)252.8.4.高度集成化252.8.5.授權(quán)管理252.8.6.靈活的認(rèn)證服務(wù)252.8.7.可信的合作伙伴的技術(shù)整合262.8.8.最佳實(shí)踐262.8.9.高可用性263.統(tǒng)一單點(diǎn)登錄和授權(quán)管理263.1.數(shù)據(jù)間交互流程圖263.2.系統(tǒng)集成改造工作273.2.1.統(tǒng)一身份管理集成接口273.2.2.單點(diǎn)登錄集成283.3.主用戶同步機(jī)制313.3.1.統(tǒng)一數(shù)據(jù)源服務(wù)313.3.2.數(shù)據(jù)同步服務(wù)313.4.用戶屬性自定義、用戶信息傳遞323.5.SAML協(xié)議和OAUTH協(xié)議使用，選擇和考慮323.5.1.SAML協(xié)議說(shuō)明323.5.2.SA

3、ML協(xié)議343.5.3.OAUTH協(xié)議說(shuō)明343.5.4.補(bǔ)充說(shuō)明353.6.用戶并發(fā)能力353.7.與既有單點(diǎn)登錄系統(tǒng)集成361. xxx介紹1.1. 公司簡(jiǎn)介北京xxx（簡(jiǎn)稱“xxx”）是國(guó)內(nèi)身份認(rèn)證、身份管理和訪問(wèn)控制管理（IAM）安全解決方案領(lǐng)跑者，是專注于為全球金融機(jī)構(gòu)、政府部門和高安全敏感環(huán)境提供身份管理及認(rèn)證、特權(quán)憑證和訪問(wèn)控制管理解決方案的本土提供商。xxx的安全解決方案已成功應(yīng)用于眾多銀行、保險(xiǎn)、政府、制造業(yè)、物流、媒體、醫(yī)療、教育機(jī)構(gòu)及大型跨國(guó)公司。在超過(guò)50家世界領(lǐng)先金融機(jī)構(gòu)和超過(guò)200家銀行成功部署，反映了即便是對(duì)信息科技環(huán)境要求最嚴(yán)格的金融服務(wù)及保險(xiǎn)業(yè)，其世界級(jí)技術(shù)仍

4、可協(xié)助客戶提升企業(yè)信息安全的水平。xxx擁有自主知識(shí)產(chǎn)權(quán)和專利，可以對(duì)產(chǎn)品進(jìn)行靈活改造以適應(yīng)用戶的定置化需求；擁有各種資質(zhì)證書，滿足中國(guó)安全市場(chǎng)業(yè)務(wù)需求，以及本地法規(guī)的監(jiān)管要求和用戶需求。1.2. 產(chǎn)品概述xxx專注于為全球高安全性敏感環(huán)境的企業(yè)提供憑證管理和強(qiáng)身份認(rèn)證解決方案。主要產(chǎn)品AccessMatrix是一套整合的企業(yè)級(jí)安全解決方案，讓客戶能夠有效地部署委托授權(quán)管理、細(xì)粒度權(quán)限管理、統(tǒng)一認(rèn)證、統(tǒng)一單點(diǎn)登錄和安全憑證管理服務(wù)。xxx的解決方案以分層分區(qū)的專利技術(shù)為核心，能夠有效地處理一個(gè)組織或多個(gè)組織內(nèi)龐大的用戶群在憑證管理和強(qiáng)認(rèn)證方面的需求和挑戰(zhàn)。它提供了可配置的訪問(wèn)控制、身份認(rèn)證和審

5、計(jì)策略，以滿足對(duì)用戶、應(yīng)用程序和終端設(shè)備的最嚴(yán)格的安全管理要求，提供端對(duì)端的安全解決方案。AccessMatrix是一個(gè)結(jié)構(gòu)化的產(chǎn)品，通過(guò)靈活的配置提供實(shí)用和強(qiáng)大的功能，滿足大型企事業(yè)單位信息安全管理的需求；它為IT安全管理人員提供全面的、集中化的策略管理服務(wù)，使他們方便有效地管理用戶、系統(tǒng)，實(shí)現(xiàn)貫穿整個(gè)企業(yè)的安全策略。整體上，AccessMatrix 安全認(rèn)證管理平臺(tái)具有以下的特點(diǎn)：à 為用戶提供集中化的認(rèn)證、授權(quán)和審計(jì)服務(wù)，使他們安全地訪問(wèn)不同的業(yè)務(wù)應(yīng)用系統(tǒng)和企業(yè)資源；à 為管理人員提供全面的集中策略管理服務(wù)，使他們方便有效地管理應(yīng)用系統(tǒng)的訪問(wèn)許可、用戶權(quán)限和貫穿整個(gè)企

6、業(yè)的安全策略。à 為企業(yè)提供雙重控制權(quán)限，讓職責(zé)分離。從系統(tǒng)基礎(chǔ)搭建開始都不需要超級(jí)用戶，而是設(shè)置了各種細(xì)粒度的角色和權(quán)限。1.3. 歷史經(jīng)驗(yàn)和成績(jī) xxx現(xiàn)在保護(hù)著超過(guò)10萬(wàn)億美元的各類資產(chǎn)，其中包括新加坡最大的兩家國(guó)際銀行和世界上最大的瑞士私人銀行以及日本最優(yōu)秀的一家銀行。 我們的專利分層分區(qū)管理模式，極大的方便了企業(yè)根據(jù)各自部門的特點(diǎn)來(lái)進(jìn)行安全方便的管理，有助于加強(qiáng)安全性和降低運(yùn)營(yíng)成本。用戶要求的解決方案正是我們xxx所擁有的，所有的知識(shí)產(chǎn)權(quán)和領(lǐng)域技術(shù)都是xxx通過(guò)金融行業(yè)多年的創(chuàng)新和發(fā)展積累而得來(lái)的。下表所列的是我們的一些客戶（部分客戶）：解決方案xxx 產(chǎn)品客戶名稱國(guó)家統(tǒng)一

7、身份認(rèn)證和訪問(wèn)控制AccessMatrix UAS USO UAM UIM中銀保險(xiǎn)中國(guó)統(tǒng)一身份認(rèn)證和訪問(wèn)控制AccessMatrix UAS USO UAM 哈爾濱銀行中國(guó)統(tǒng)一身份認(rèn)證和訪問(wèn)控制AccessMatrix UAS USO UAM 蘭州銀行中國(guó)統(tǒng)一身份認(rèn)證和特權(quán)賬號(hào)管理AccessMatrix UAS UCM 漢口銀行中國(guó)統(tǒng)一身份認(rèn)證和特權(quán)賬號(hào)管理AccessMatrix UAS USO UCM泰安商行中國(guó)統(tǒng)一身份認(rèn)證和訪問(wèn)控制AccessMatrix UCM USO承德商行中國(guó)統(tǒng)一身份認(rèn)證項(xiàng)目AM UAS大連銀行中國(guó)統(tǒng)一身份認(rèn)證和特權(quán)賬號(hào)管理AccessMatrix UCM中國(guó)銀

8、行北京分行中國(guó)特權(quán)密碼管理系統(tǒng)AccessMatrix UCMBank of Ningbo Co., Ltd.寧波銀行中國(guó)統(tǒng)一認(rèn)證和訪問(wèn)權(quán)限管理系統(tǒng)AccessMatrix UAS USOBTV 北京電視臺(tái)中國(guó)統(tǒng)一用戶接入認(rèn)證系統(tǒng)AccessMatrix UASChina Unicom中國(guó)聯(lián)通中國(guó)網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASNanyang Commercial Bank南洋商業(yè)銀行中國(guó), 香港網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASBank of China, Hong Kong中國(guó)銀行香港分行香港員工單一登錄AccessMatrix USOAE

9、ON Credit Services, Hong Kong永旺信貸服務(wù)香港通用應(yīng)用系統(tǒng)的安全平臺(tái)AccessMatrix UAS, USO, UAM United Overseas Bank Limited大華銀行新加坡,馬來(lái)西亞, 泰國(guó), 中國(guó), 香港通用應(yīng)用系統(tǒng)的安全平臺(tái)AccessMatrix USO & UAMKasikorn Bank, Thailand泰農(nóng)銀行泰國(guó)通用應(yīng)用系統(tǒng)的安全平臺(tái)AccessMatrix UAS & UAMWorld Largest Bank花旗集團(tuán)全球通用應(yīng)用系統(tǒng)的安全平臺(tái)AccessMatrix UAS & UASInland Re

10、venue Authority of Singapore 新加坡國(guó)稅局新加坡通用應(yīng)用系統(tǒng)的安全平臺(tái)AccessMatrix UAS & UAMKrung Thai Bank, Thailand泰京銀行泰國(guó)通用應(yīng)用系統(tǒng)的安全平臺(tái)AccessMatrix UAMBankruptcy Court, Malaysia馬來(lái)西亞破產(chǎn)法庭馬來(lái)西亞通用應(yīng)用系統(tǒng)的安全平臺(tái)AccessMatrix UAMFishery Department, Malaysia馬來(lái)西亞漁政部馬來(lái)西亞網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASBank of Singapore, Singapore新加坡銀行新

11、加坡網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASMaybank, Singapore馬來(lái)亞銀行新加坡網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASBank of India, Singapore印度銀行新加坡網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASBank Islam 伊斯蘭發(fā)展銀行文萊網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASCIMB Thai, Thailand聯(lián)昌泰國(guó)銀行泰國(guó)網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASCitic Bank International花旗銀行國(guó)際新加坡, 香港網(wǎng)上銀行應(yīng)用的通用安全平

12、臺(tái)AccessMatrix UASVID Public Bank西元大眾銀行越南網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASBAOViet Bank越南寶越銀行越南網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASBIDV Bank越南投資發(fā)展銀行越南網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASAM Bank, Malaysia馬來(lái)西亞網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASAIA 友邦保險(xiǎn)新加坡, 泰國(guó)網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASBank Julius Baer瑞士寶盛銀行亞太區(qū)網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)Ac

13、cessMatrix UASUSB A.G.瑞士銀行亞太區(qū)網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASMSIG, Singapore三井住友海上保險(xiǎn)新加坡網(wǎng)上銀行應(yīng)用的通用安全平臺(tái)AccessMatrix UASAviva, Singapore英杰華保險(xiǎn)新加坡員工單一登錄AccessMatrix USOTMB Bank, Thailand泰國(guó)TMB銀行泰國(guó)員工單一登錄AccessMatrix USOShinshei Bank, Japan日本新生銀行日本員工單一登錄AccessMatrix USOResona Bank, Japan日本大和銀行日本2. AccessMatrix平

14、臺(tái)總體架構(gòu)2.1. AccessMatrix產(chǎn)品架構(gòu)AccessMatrix擁有一個(gè)通用開放的基礎(chǔ)平臺(tái)，在此基礎(chǔ)上提供不同的產(chǎn)品模塊，構(gòu)建了一個(gè)基于帳號(hào)（Account）管理、認(rèn)證（Authentication）管理、授權(quán)（Authorization）管理和安全審計(jì)（Audit）的4A整體安全管理解決方案，其產(chǎn)品架構(gòu)如下圖所示。 AccessMatrix 安全認(rèn)證管理平臺(tái)產(chǎn)品架構(gòu)示意圖xxx目前為AccessMatrix平臺(tái)提供的產(chǎn)品模塊是：通用認(rèn)證管理（UAS）、通用登錄管理（USO）、通用憑證管理（UCM）、通用訪問(wèn)管理（UAM）。各模塊的作用是：à 通用認(rèn)證管理系統(tǒng)（UAS）提

15、供統(tǒng)一的身份認(rèn)證和管理平臺(tái)，使企業(yè)可以搭建一個(gè)統(tǒng)一的認(rèn)證體系。能夠支持多種認(rèn)證方式，包括目前流行的靜態(tài)口令、動(dòng)態(tài)口令OTP、PKI證書認(rèn)證、SMS口令等，并提供PAM模塊易于集成未來(lái)新的認(rèn)證方式。雙因素認(rèn)證方式的實(shí)現(xiàn)，提高了系統(tǒng)認(rèn)證的安全級(jí)別。à 通用登錄管理系統(tǒng)（USO）USO是一個(gè)非嵌入式的單點(diǎn)登錄解決方案，它可以讓客戶只登錄一次，就可以無(wú)縫訪問(wèn)眾多加入U(xiǎn)SO的C/S系統(tǒng)和B/S系統(tǒng)。用戶可以在對(duì)應(yīng)用系統(tǒng)源代碼不做任何改變的情況下，方便、快速、安全的實(shí)現(xiàn)施單點(diǎn)登錄系統(tǒng)，大大提升了認(rèn)證的效率。à 通用憑證管理系統(tǒng)（UCM）UCM是一套用于網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的特權(quán)

16、共享賬號(hào)（如root、admin等）的統(tǒng)一管理平臺(tái)?；赪eb的特權(quán)帳戶管理解決方案與多層次審批流程機(jī)制，讓用戶可以嚴(yán)格管理特權(quán)共享賬號(hào)和密碼的使用，解決了以往系統(tǒng)管理員賬號(hào)由多人知曉、使用不受控制并導(dǎo)致信息和數(shù)據(jù)泄露的問(wèn)題。同時(shí)也解決了應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)庫(kù)連接的賬號(hào)密碼的定期更換的問(wèn)題。à 通用訪問(wèn)控制管理（UAM）UAM 提供了一套完整的支持Web服務(wù)、Java和.NET的API，使得開發(fā)人員能高效的開發(fā)有關(guān)安全管理、認(rèn)證、授權(quán)和審計(jì)（4A）服務(wù)，大大降低集成的工作量。所有的與安全相關(guān)的業(yè)務(wù)規(guī)則都在AccessMatrix中定義和管理，無(wú)需在應(yīng)用系統(tǒng)中進(jìn)行任何的硬編碼，因此UAM極大

17、的提高了軟件的復(fù)用性，降低維護(hù)和支持的成本。à 通用身份管理系統(tǒng)（UIM）UIM可以管理用戶完整生命周期及異構(gòu)IT環(huán)境下的訪問(wèn)權(quán)限。UIM提供了一個(gè)安全、自動(dòng)而且基于策略的用戶管理解決方案，滿足客戶無(wú)論是在原有的IT環(huán)境還是電子商務(wù)時(shí)代的IT環(huán)境下將企業(yè)的核心業(yè)務(wù)展現(xiàn)給客戶、供應(yīng)商、合作伙伴甚至競(jìng)爭(zhēng)對(duì)手的需求。UIM是一種具有高度靈活性和擴(kuò)展能力的企業(yè)身份管理系統(tǒng)，可用于管理用戶在企業(yè)IT資源中的訪問(wèn)權(quán)限。并且UIM包含一個(gè)工作流引擎，可規(guī)范企業(yè)審批管理流程，實(shí)現(xiàn)用戶管理的自動(dòng)化。2.2. 客戶統(tǒng)一生物認(rèn)證平臺(tái)基礎(chǔ)架構(gòu)下面的圖說(shuō)明了xxx提交給用戶銀行的統(tǒng)一身份認(rèn)證和訪問(wèn)權(quán)限管理基礎(chǔ)

18、架構(gòu)。 基礎(chǔ)架構(gòu)圖我們所建議的架構(gòu)是基于AccessMatrix新一代企業(yè)訪問(wèn)控制、單點(diǎn)登錄和安全管理的通用平臺(tái)。AccessMatrix 是一個(gè)訪問(wèn)管理解決方案的集成套件，它是由熟悉國(guó)內(nèi)外銀行業(yè)安全專業(yè)人員所設(shè)計(jì)和開發(fā)的，更能符合銀行業(yè)市場(chǎng)的需求。在AccessMatrix的產(chǎn)品內(nèi)都嵌入了“審計(jì)”和適應(yīng)銀行業(yè)的特殊功能，以滿足內(nèi)部和外部審計(jì)，以及金融行業(yè)和政府監(jiān)管的要求，這個(gè)集成的安全解決方案套件，將符合用戶當(dāng)前和未來(lái)的業(yè)務(wù)要求和政策法規(guī)的要求。AccessMatrix采用Java技術(shù)、開放架構(gòu)、靈活的框架和最新的技術(shù)，提供了一個(gè)通用的安全管理平臺(tái)，以滿足一個(gè)完整的企業(yè)4A安全服務(wù)，即管理、

19、認(rèn)證、授權(quán)和審計(jì)需求，包括所有業(yè)務(wù)應(yīng)用系統(tǒng)（Web和非Web）及多種交付渠道。它同時(shí)提供了金融行業(yè)的最佳實(shí)踐和理念：最小權(quán)限、無(wú)超級(jí)用戶、雙重控制和職責(zé)分離。AccessMatrix可以使用戶利用一個(gè)公共的安全平臺(tái)為其它重要的應(yīng)用系統(tǒng)提供安全的服務(wù)，來(lái)確保應(yīng)用系統(tǒng)的安全性。取決于銀行的安全策略和業(yè)務(wù)經(jīng)濟(jì)性綜合考慮，銀行可能要實(shí)施各種不同的雙因素認(rèn)證設(shè)備（如指紋、令牌、PKI等）。根據(jù)內(nèi)部和外部的安全要求，以及行業(yè)法規(guī)的要求，銀行關(guān)于身份認(rèn)證的安全策略會(huì)不斷改變，因此采用一個(gè)靈活的和適應(yīng)性強(qiáng)的認(rèn)證體系來(lái)滿足業(yè)務(wù)發(fā)展和法規(guī)要求是非常重要的。xxx的安全解決方案采取“令牌無(wú)關(guān)性”的方案以及靈活的接口

20、，可以使我們安全地與Vasco、RSA、Yeskey等令牌，和/或與其它的多因素認(rèn)證廠商（指紋、虹膜等）集成，并同時(shí)維持最新的技術(shù)來(lái)保證安全性和法規(guī)符合性。通過(guò)AccessMatrix UAS模塊，用戶可以利用一個(gè)通用的身份認(rèn)證服務(wù)基礎(chǔ)架構(gòu)，來(lái)安全地整合到各種身份認(rèn)證機(jī)制，這將確保銀行現(xiàn)有和未來(lái)的2FA設(shè)備和其它生物識(shí)別身份驗(yàn)證機(jī)制都可以部署到AccessMatrix UAS中，從而實(shí)現(xiàn)最大金融性，也可以節(jié)省過(guò)去企業(yè)的投資。采用我們通用安全平臺(tái)的方法，AccessMatrix確保安全地整合“各種身份認(rèn)證機(jī)制”到一個(gè)通用平臺(tái)，同時(shí)也使用戶奠定了一個(gè)基礎(chǔ)，并提供了一個(gè)路線圖，以幫助他們實(shí)現(xiàn)“安全整

21、合”。安全整合是xxx的核心安全理念，我們協(xié)助客戶采取一種漸進(jìn)的、創(chuàng)新和策略的辦法，基于一個(gè)共同的安全基礎(chǔ)架構(gòu)，來(lái)解決應(yīng)用系統(tǒng)的安全需求。通過(guò)提供一整套集成的解決方案，我們可以通過(guò)一個(gè)共同的安全基礎(chǔ)架構(gòu)，從戰(zhàn)略上和戰(zhàn)術(shù)上來(lái)滿足用戶銀行的業(yè)務(wù)要求。功能摘要:提升應(yīng)用系統(tǒng)安全有關(guān)安全的業(yè)務(wù)規(guī)則是在AccessMatrix中定義和管理的，以避免在應(yīng)用系統(tǒng)中代碼被寫死。AccessMatrix提供一個(gè)靈活和符合成本效益的架構(gòu)，來(lái)管理訪問(wèn)權(quán)限和業(yè)務(wù)規(guī)則，這樣的安全架構(gòu)，可加快應(yīng)用開發(fā)，促進(jìn)更好的軟件復(fù)用，減少了應(yīng)用系統(tǒng)的維護(hù)工作。多層應(yīng)用系統(tǒng)支持安全框架支持多層應(yīng)用環(huán)境，使企業(yè)能夠部署一個(gè)單一的安全基礎(chǔ)

22、架構(gòu)，來(lái)支持Web和非Web的應(yīng)用。整合Web服務(wù)器和應(yīng)用服務(wù)器的靈活性，降低了應(yīng)用系統(tǒng)設(shè)計(jì)的復(fù)雜性，增強(qiáng)了企業(yè)內(nèi)部的安全。啟用單點(diǎn)登錄AccessMatrix為企業(yè)所有基于Web的應(yīng)用提供了單點(diǎn)登錄能力。此功能可擴(kuò)展跨越多個(gè)域，以解決當(dāng)前Web環(huán)境的限制。簡(jiǎn)化用戶管理由AccessMatrix定義了用戶及其權(quán)限，它提供了一個(gè)獨(dú)特而有效的的方法來(lái)管理用戶對(duì)企業(yè)內(nèi)應(yīng)用系統(tǒng)的訪問(wèn)。榮獲專利的分層分區(qū)的安全管理手段與授權(quán)框架，使企業(yè)可以在任何一個(gè)組織架構(gòu)層級(jí)指定安全管理員。本地安全管理員的管理權(quán)限可以定義粒度級(jí)別，以提高安全性，降低管理成本。這種創(chuàng)新的架構(gòu)允許在本地一級(jí)管理用戶的ID/密碼和權(quán)限。這

23、個(gè)層次化管理模型可以擴(kuò)展到包括外部的組織，如客戶和業(yè)務(wù)伙伴，啟用他們自己的安全管理員來(lái)管理他們的用戶ID和用戶權(quán)限管理，在保證安全性的前提下，大大降低了管理的復(fù)雜性。AccessMatrix可以利用企業(yè)現(xiàn)有的用戶注冊(cè)表，例如：LDAP、 Microsoft AD Domain 或 Active Directory, 無(wú)需進(jìn)行用戶同步及重復(fù)用戶維護(hù)工作，進(jìn)一步簡(jiǎn)化用戶管理。這種整合方式，大大簡(jiǎn)化了整個(gè)企業(yè)的實(shí)施工作。實(shí)施企業(yè)范圍的安全策略AccessMatrix可以定義和管理企業(yè)范圍的安全策略，用層次化的分段方式反映一個(gè)公司現(xiàn)有的組織結(jié)構(gòu)。因此，我們可以從公司總部到所有子公司、部門和其他內(nèi)部和外

24、部業(yè)務(wù)單位全方位部署控制和安全策略。內(nèi)置最佳的安全實(shí)踐與規(guī)則AccessMatrix支持最小特權(quán)管理的權(quán)責(zé)分離的原則。該產(chǎn)品清晰地劃分出安全管理和系統(tǒng)管理兩個(gè)不同的工作功能。安全管理員根據(jù)工作職能，按粒度分配管理權(quán)限。對(duì)于段和子段的安全管理權(quán)限范圍是有限的。不同于其他產(chǎn)品，AccessMatrix能夠明確指定所管理權(quán)限的粒度范圍，可使用雙重（核對(duì)）控制機(jī)制，以進(jìn)一步確保一個(gè)管理員提交的修改生效前，必須由另外一個(gè)管理員進(jìn)行批準(zhǔn)。此外，AccessMatrix還可以確保相同的用戶不會(huì)指定多個(gè)角色，而導(dǎo)致利益沖突。2.3. 分層分區(qū)管理和授權(quán)框架 如前所述，AccessMatrix構(gòu)架是基于xxx的

25、專利技術(shù)“分層分區(qū)安全管理和授權(quán)框架”設(shè)計(jì)的。應(yīng)用我們的專利技術(shù)，AccessMatrix 有效地解決了單個(gè)企業(yè)內(nèi)部，或者跨企業(yè)間，大量用戶群的安全管理問(wèn)題。應(yīng)用AccessMatrix，企業(yè)客戶便可以毫不費(fèi)力地定義代表其相關(guān)操作的區(qū)段，然后便可以定義和管理相應(yīng)的安全管理策略、管理員、用戶和應(yīng)用系統(tǒng)等。 AccessMatrix 構(gòu)架允許：Ø 企業(yè)結(jié)構(gòu)之定義該企業(yè)的結(jié)構(gòu)可吻合地定義在策略數(shù)據(jù)庫(kù)中。Ø 安全/用戶管理員角色之委托安全/用戶管理員可以被賦予該企業(yè)任一等級(jí)的角色，也可以在一個(gè)明確定義的作用域里被賦予要完成該工作所需要的最小權(quán)限。Ø 安全策略之實(shí)現(xiàn)安全策略

26、例如口令規(guī)則等可定義在根區(qū)段中（公司總部），而后被繼承到下級(jí)區(qū)段。這就允許安全策略在整個(gè)企業(yè)中輕易地實(shí)現(xiàn)。Ø 外部數(shù)據(jù)庫(kù)用戶之集成外部認(rèn)證數(shù)據(jù)庫(kù)可以對(duì)應(yīng)到任何一個(gè)等級(jí)的區(qū)段。這就允許定義在不同區(qū)段的不同用戶采用不同的認(rèn)證服務(wù)器去認(rèn)證，例如微軟的AD、IBM、SUN目錄服務(wù)器等。另外，這些外部數(shù)據(jù)庫(kù)用戶的登入訊息都可通過(guò)標(biāo)準(zhǔn)的適配器的實(shí)現(xiàn)與AccessMatrix的策略數(shù)據(jù)庫(kù)同步。如果用戶的同步需求不能通過(guò)標(biāo)準(zhǔn)的適配器來(lái)滿足，那就必需通過(guò)客戶化的適配器來(lái)滿足。下面是基于當(dāng)前我們對(duì)用戶已有的企業(yè)框架的理解，對(duì)用戶企業(yè)層次結(jié)構(gòu)設(shè)計(jì)的一個(gè)初始描述圖:建議戰(zhàn)略性企業(yè)層次結(jié)構(gòu)以上的AccessM

27、atrix 安全基礎(chǔ)架構(gòu)和安全產(chǎn)品可滿足用戶銀行對(duì)管理，認(rèn)證，授權(quán)，審計(jì)的安全需求。q 管理AccessMatrix提供基于xxx專利的分層分區(qū)管理模式來(lái)管理安全策略、用戶、權(quán)限和應(yīng)用等。AccessMatrix提供基于GUI和基于Web的兩種管理界面。在 AccessMatrix里, 區(qū)段（Segment）是一個(gè)基本的管理單元。用戶、組群、應(yīng)用系統(tǒng)和子區(qū)段都可以被定義在區(qū)段里。例如，一個(gè)區(qū)段可代表一個(gè)機(jī)構(gòu)的一個(gè)部門，被這個(gè)部門管理的應(yīng)用系統(tǒng)和系統(tǒng)就可以被定義為這個(gè)區(qū)段的“應(yīng)用系統(tǒng)”節(jié)點(diǎn)；該部門的用戶和他們所在部門的組群相應(yīng)地可以被定義為該區(qū)段的“用戶”節(jié)點(diǎn)和“組群”節(jié)點(diǎn)。 管理員和安全策略也

28、可以定義在區(qū)段層。 管理員被賦予適當(dāng)?shù)墓芾斫巧?，賦予的管理角色的有效范圍則是和各自的管理角色所詳細(xì)規(guī)定的授權(quán)項(xiàng)相關(guān)聯(lián)的。為了減少安全管理的費(fèi)用，用戶銀行可以把一些管理功能授權(quán)給不同層次的管理員，這些不同層次的管理員都是為各個(gè)部門甚至外部客戶而定義的。 為確保責(zé)任可追究性，應(yīng)使用雙重控制使得管理員單方面的修改請(qǐng)求未得到另外的管理員評(píng)審和核準(zhǔn)之前不能完成。q 認(rèn)證AccessMatrix UAS 實(shí)現(xiàn)了靈活的認(rèn)證插件模塊以支持多種認(rèn)證方法，例如一次性口令和電子證書。基于商業(yè)和安全需求，經(jīng)批準(zhǔn)的安全管理員可以設(shè)置或改變認(rèn)證的方法（通過(guò)AccessMatrix管理界面 策略編輯器），而不需要去改變應(yīng)用

29、系統(tǒng)的源代碼。 建議單個(gè)用戶或者公司應(yīng)該用一種更強(qiáng)有力的認(rèn)證方法，例如智能卡或SIM卡中的數(shù)字憑證?，F(xiàn)在，AccessMatrix UAS 端對(duì)端加密模塊已經(jīng)能夠提供對(duì)用戶憑證的端對(duì)端的保護(hù)。q 授權(quán)一旦用戶身份經(jīng)過(guò)鑒別，AccessMatrix就會(huì)確保僅經(jīng)過(guò)授權(quán)的用戶可以訪問(wèn)應(yīng)用系統(tǒng)和其功能，并且還要基于該用戶的角色、屬性和其他的策略信息諸如時(shí)間和地域限制。 基于xxx專利的分層分區(qū)安全管理和授權(quán)框架，AccessMatrix 為Web應(yīng)用系統(tǒng)和非Web應(yīng)用系統(tǒng)提供了更細(xì)粒度的訪問(wèn)控制，從應(yīng)用系統(tǒng)、對(duì)象、方法一直到參數(shù)層。q 審計(jì)AccessMatrix 記錄普通用戶和管理員所執(zhí)行的活動(dòng)。記

30、錄的活動(dòng)包括：Ø 相關(guān)的行為:- 登錄- 修改密碼- 對(duì)象的訪問(wèn)- 安全管理活動(dòng)Ø 事件類型:- 成功- 失敗記錄的其它日志信息包括:Ø 用戶標(biāo)識(shí)Ø 時(shí)間戳Ø 用戶所處的位置Ø 用戶所訪問(wèn)的對(duì)象Ø 管理活動(dòng)的詳細(xì)信息2.4. 通用的企業(yè)安全架構(gòu)下面的圖說(shuō)明了xxx給用戶的基于AccessMatrix通用的企業(yè)安全解決方案的建議框架。 建議的AccessMatrix 通用的企業(yè)安全架構(gòu)2.4.1. 安全注冊(cè)表組件安全注冊(cè)表是AccessMatrix核心安全數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)可以兼容JDBC的關(guān)系型數(shù)據(jù)庫(kù)，如Oracle，MS S

31、QL Server等。策略注冊(cè)表中包含的安全策略、用戶的權(quán)限和應(yīng)用系統(tǒng)的訪問(wèn)控制權(quán)限等，這是默認(rèn)的安全注冊(cè)表，策略注冊(cè)表數(shù)據(jù)庫(kù)是在安裝階段決定的。認(rèn)證注冊(cè)表包含有關(guān)用戶的密碼信息，如密碼等，這可能是默認(rèn)安全注冊(cè)表的一部分，或者是外部的注冊(cè)表，如LDAP數(shù)據(jù)庫(kù)或NT域數(shù)據(jù)庫(kù)。身份認(rèn)證的注冊(cè)表數(shù)據(jù)庫(kù)是在每個(gè)區(qū)段定義的。有兩個(gè)邏輯安全注冊(cè)表，每個(gè)都有不同的內(nèi)容：l 策略注冊(cè)表策略注冊(cè)表中包含的安全策略、用戶的權(quán)限和應(yīng)用系統(tǒng)的訪問(wèn)控制權(quán)限等，這是默認(rèn)的安全注冊(cè)表，策略注冊(cè)表數(shù)據(jù)庫(kù)是在安裝階段決定的。l 認(rèn)證注冊(cè)表認(rèn)證注冊(cè)表包含有關(guān)用戶的密碼信息，如密碼等，這可能是默認(rèn)安全注冊(cè)表的一部分，或者是外部的注

32、冊(cè)表，如LDAP數(shù)據(jù)庫(kù)或NT域數(shù)據(jù)庫(kù)。身份認(rèn)證的注冊(cè)表數(shù)據(jù)庫(kù)是在每個(gè)區(qū)段定義的。2.4.2. 安全服務(wù)器組件訪問(wèn)管理器 AM AM是AccessMatrix系統(tǒng)的最重要安全服務(wù)器，它通過(guò)提供以下安全服務(wù)管理訪問(wèn)控制：l 認(rèn)證服務(wù)它支持多種身份驗(yàn)證機(jī)制，例如，靜態(tài)密碼、數(shù)字證書、動(dòng)態(tài)密碼等用戶認(rèn)證。 AccessMatrix認(rèn)證服務(wù)是根據(jù)可插拔驗(yàn)證模塊（PAM）的標(biāo)準(zhǔn)實(shí)施。l 管理服務(wù)AM服務(wù)器還允許安全管理員管理整個(gè)組織的安全策略、用戶和應(yīng)用系統(tǒng)等。精細(xì)的管理權(quán)限可分配給管理員，他們可以通過(guò)管理界面來(lái)完成相應(yīng)的管理工作。2.4.3. 管理接口管理控制臺(tái)這是用戶的個(gè)人信息管理和安全管理GUI工具

33、。它允許管理員創(chuàng)建用戶、分配用戶權(quán)限/屬性、定義應(yīng)用系統(tǒng)、令牌管理和管理安全策略等。2.4.4. 安全連接AccessMatrix所有組件之間的所有連接使用標(biāo)準(zhǔn)的SSL協(xié)議，它提供了基于PKI的成熟的相互認(rèn)證，保證信息相互之間傳遞的保密性和完整性。AccessMatrix設(shè)計(jì)為允許選擇各種加密強(qiáng)度和加密庫(kù)，默認(rèn)的密碼庫(kù)是SUN公司的JCE。2.5. 產(chǎn)品數(shù)據(jù)全景圖 2.6. 開放接口全景圖AccessMatrix是一套集企業(yè)應(yīng)用程序存取控制，單點(diǎn)登錄及安全管理于一身的系統(tǒng)。借助AccessMatrix技術(shù)力量，產(chǎn)品提供的安全管理，認(rèn)證，授權(quán)以及審計(jì)服務(wù)，即4A，為您的企業(yè)內(nèi)部的商業(yè)運(yùn)作實(shí)現(xiàn)了最

34、為嚴(yán)格的應(yīng)用安全模式。通過(guò)與應(yīng)用程序的嚴(yán)密整合，能使多種應(yīng)用程序來(lái)共同實(shí)現(xiàn)統(tǒng)一的安全服務(wù)。AM提供靈活的APIs安全系統(tǒng)以及代理技術(shù)和一整套APIs安全系統(tǒng)為開發(fā)人員提供了高度集成的網(wǎng)絡(luò)和非網(wǎng)絡(luò)應(yīng)用程序?；诠芾韱T設(shè)置的安全準(zhǔn)入控制規(guī)則，UAM的網(wǎng)絡(luò)安全代理(WSA) 和應(yīng)用安全代理(ASA)允許企業(yè)使用在網(wǎng)內(nèi)服務(wù)器和應(yīng)用程序服務(wù)器上的資源。這種中央集成的認(rèn)證和授權(quán)規(guī)則大大的簡(jiǎn)化了用戶管理以及系統(tǒng)整合的工作。xxx提供的接口遵循XML-RPC和SOAP協(xié)議，AccessMatrix 安全服務(wù)器使用Java 技術(shù)與標(biāo)準(zhǔn)，能在任何支持Java運(yùn)行環(huán)境的平臺(tái)上執(zhí)行。提供的接口靈活好用，詳細(xì)技術(shù)參數(shù)參

35、見SDK相關(guān)文檔。2.7. 通用的安全部署架構(gòu)AccessMatrix的配置布局已經(jīng)考慮到了對(duì)故障恢復(fù)的支持，這樣一來(lái)就可以避免單點(diǎn)故障而使系統(tǒng)失敗。建議的這套系統(tǒng)不但節(jié)約費(fèi)用，性能可靠，而且可以實(shí)現(xiàn)高效的錯(cuò)誤恢復(fù)。 該系統(tǒng)提供極為靈活的服務(wù)平臺(tái)及數(shù)據(jù)中心級(jí)的服務(wù)器，并且具高度擴(kuò)展性和允許升級(jí)，以滿足未來(lái)服務(wù)器負(fù)載增加的需求。如下圖所示：2.7.1. 多平臺(tái)支持AccessMatrix 服務(wù)器軟件可以部署在各種操作系統(tǒng)環(huán)境、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)?？蛻艨梢赃x擇特定的部署平臺(tái)，部署AccessMatrix系統(tǒng)。支持的服務(wù)器操作系統(tǒng)：Ø IBM AIXØ Sun的Solaris&#

36、216; Linux的Ø Windows服務(wù)器2003 /2008Ø ZOS支持的RDBMS：Ø 微軟SQL服務(wù)器Ø MySqlØ Oracle 9i/10g/11i/12CØ IBM DB2支持的WebAppServer：Ø Oracle WebLogic應(yīng)用服務(wù)器Ø IBM WebSphere應(yīng)用服務(wù)器Ø SUN ONE 應(yīng)用服務(wù)器Ø Apache Tomcat服務(wù)器2.7.2. 商業(yè)益處 Ø 利用一個(gè)通用的安全和接入體系架構(gòu)，從而減少銀行向市場(chǎng)推出新產(chǎn)品及服務(wù)的時(shí)間Ø

37、提供客戶一個(gè)訪問(wèn)不同應(yīng)用系統(tǒng)的共同和一致的體驗(yàn)Ø 通過(guò)一個(gè)通用接口，簡(jiǎn)化公司管理用戶訪問(wèn)不同系統(tǒng)的授權(quán)工作Ø 減少用戶注冊(cè)時(shí)間和避免用戶重復(fù)注冊(cè)于不同的應(yīng)用系統(tǒng)，因此簡(jiǎn)化了用戶注冊(cè)的過(guò)程2.7.3. 技術(shù)益處Ø 通過(guò)一個(gè)通用的訪問(wèn)控制、身份驗(yàn)證和授權(quán)基礎(chǔ)架構(gòu)，以達(dá)到相對(duì)大的經(jīng)濟(jì)規(guī)模，大幅度地提高了投資回報(bào)。Ø 提供一個(gè)標(biāo)準(zhǔn)流程，來(lái)集成新的銀行產(chǎn)品、服務(wù)及應(yīng)用系統(tǒng)，以減少整合與維護(hù)的成本。Ø 確保應(yīng)用系統(tǒng)之間的安全合規(guī)性，并能夠快速響應(yīng)網(wǎng)上銀行法規(guī)和網(wǎng)上詐騙不斷變化的需求。Ø 通過(guò)一個(gè)共同管理界面，優(yōu)化用戶及授權(quán)的管理流程，并提高效率。

38、2.8. 產(chǎn)品優(yōu)勢(shì)2.8.1. 可靠性 xxx公司提供了可擴(kuò)展的、靈活的、完整的，已經(jīng)被許多全球性和區(qū)域性大型企業(yè)證明過(guò)的可靠解決方案，保護(hù)的資產(chǎn)超過(guò)1.6萬(wàn)億美元。AccessMatrix已有的大量高端企業(yè)的成功案例，大大降低項(xiàng)目實(shí)施的風(fēng)險(xiǎn)。2.8.2. 靈活可擴(kuò)展的架構(gòu) AccessMatrix技術(shù)體系架構(gòu)已被許多大型企業(yè)和政府機(jī)構(gòu)的大規(guī)模部署所證實(shí)，無(wú)論縱向和橫向擴(kuò)展的支持，針對(duì)高安全性要求的環(huán)境，AccessMatrix都可以靈活部署。2.8.3. 基于分層分區(qū)的分段管理和委托授權(quán) AccessMatrix為安全管理員提供強(qiáng)大的管理功能，以方便和有效地管理應(yīng)用系統(tǒng)的權(quán)限、用戶權(quán)限和整個(gè)

39、組織的安全政策。通過(guò)分層分區(qū)的管理和授權(quán)框架，可以靈活的通過(guò)按照部門進(jìn)行用戶授權(quán)管理，從而在保證安全性和可靠性的前提下，大大降低了運(yùn)營(yíng)成本。2.8.4. 高度集成化 AccessMatrix平臺(tái)提供單點(diǎn)登錄，并支持多種認(rèn)證方法。通過(guò)AccessMatrix管理平臺(tái)，讓用戶方便的更改應(yīng)用系統(tǒng)的身份認(rèn)證方法，而無(wú)需更改應(yīng)用系統(tǒng)。2.8.5. 授權(quán)管理 我們AccessMatrix平臺(tái)提供組織中的用戶權(quán)限的集中統(tǒng)一視圖。方便大型組織機(jī)構(gòu)跨多個(gè)應(yīng)用系統(tǒng)的用戶訪問(wèn)權(quán)限設(shè)定。2.8.6. 靈活的認(rèn)證服務(wù)AccessMatrix實(shí)現(xiàn)可插拔驗(yàn)證模塊（PAM）框架，以支持各種不同的認(rèn)證機(jī)制，例如：靜態(tài)密碼、動(dòng)態(tài)

40、或一次性密碼等?？蛻艨梢造`活方便的使用已有的或者新的認(rèn)證方法。2.8.7. 可信的合作伙伴的技術(shù)整合 AccessMatrix支持硬件安全模塊HSM的整合，提供對(duì)密鑰的保護(hù)/管理，以滿足PIN和密碼的端到端的安全性要求。HSM和雙因素設(shè)備可以由客戶選擇，滿足國(guó)家或行業(yè)的監(jiān)管要求。2.8.8. 最佳實(shí)踐 AccessMatrix平臺(tái)內(nèi)置高安全管理功能：職責(zé)分離、最小權(quán)限和雙重控制（Make/Check）等來(lái)增強(qiáng)運(yùn)維的安全性和降低管理的復(fù)雜性， AccessMatrix從設(shè)計(jì)開始就構(gòu)筑這種理念，以避免使用超級(jí)用戶。2.8.9. 高可用性AccessMatrix具有內(nèi)置的支持自動(dòng)故障切換的技術(shù)來(lái)保證

41、的系統(tǒng)的可靠性、可用性和可擴(kuò)展性的要求。3. 統(tǒng)一單點(diǎn)登錄和授權(quán)管理3.1. 數(shù)據(jù)間交互流程圖業(yè)務(wù)系統(tǒng)通過(guò)改造和協(xié)議形式實(shí)現(xiàn)單點(diǎn)登錄和授權(quán)的數(shù)據(jù)間交互流程,如下圖所示.3.2. 系統(tǒng)集成改造工作關(guān)于系統(tǒng)改造集成的說(shuō)明,具體如下.3.2.1. 統(tǒng)一身份管理集成接口. webserver接口提供統(tǒng)一的webserver接口，應(yīng)用系統(tǒng)通過(guò)調(diào)用接口獲得用戶和組織機(jī)構(gòu)信息的增、刪、改、查。. 連接器通過(guò)連接器，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的用戶和組織機(jī)構(gòu)信息推送。3.2.2. 單點(diǎn)登錄集成. WSA集成方式Web安全代理（WSA），它為Web應(yīng)用系統(tǒng)提供訪問(wèn)控制功能。一般來(lái)說(shuō)

42、，它支持登錄、注銷、密碼修改和網(wǎng)址訪問(wèn)控制服務(wù)。WSA是安裝在Web網(wǎng)絡(luò)服務(wù)器上的一個(gè)插件，它提供了以下功能：l 截取每一個(gè)到Web網(wǎng)絡(luò)服務(wù)器的請(qǐng)求；l 由AM服務(wù)器強(qiáng)制進(jìn)行訪問(wèn)控制，檢查每一個(gè)請(qǐng)求；. SDK集成方式采用該方式，各應(yīng)用沿用自己的登錄頁(yè)面。提供標(biāo)準(zhǔn)的XML-RPC和SOAP API接口，應(yīng)用系統(tǒng)開發(fā)人員通過(guò)調(diào)用接口，實(shí)現(xiàn)統(tǒng)一認(rèn)證與單點(diǎn)登錄。針對(duì)不同開發(fā)語(yǔ)言，例如Java, ActiveX COM 或Microsoft .NET，提供相應(yīng)的API包裝程序以包裝核心XML-RPC層。. SAML協(xié)議標(biāo)準(zhǔn)協(xié)議集成方式AM提供標(biāo)準(zhǔn)SAML集成方式，其中AM作

43、為IDP，應(yīng)用系統(tǒng)作為SP，具體認(rèn)證流程圖如下：3.3. 主用戶同步機(jī)制3.3.1. 統(tǒng)一數(shù)據(jù)源服務(wù)AM支持的標(biāo)準(zhǔn)的統(tǒng)一用戶源主要為AD、LDAP和JDBC;此外，作為最完整的用戶信息庫(kù)，AM可提供統(tǒng)一的WEBSERVICE接口向上或向下向各系統(tǒng)提供人員信息源和賬號(hào)信息源數(shù)據(jù)。3.3.2. 數(shù)據(jù)同步服務(wù)數(shù)據(jù)同步一般包括“推”和“拉”兩種數(shù)據(jù)同步方式：1、 針對(duì)上游可信數(shù)據(jù)源的數(shù)據(jù)同步，例如對(duì)HR系統(tǒng)可信用戶數(shù)據(jù)的同步，一般采用“拉”的數(shù)據(jù)同步方式，通過(guò)AM專屬連接器工具監(jiān)聽上游數(shù)據(jù)庫(kù)變化情況，并通過(guò)定時(shí)任務(wù)將數(shù)據(jù)同步到本地?cái)?shù)據(jù)庫(kù)中。2、 針對(duì)下游數(shù)據(jù)源的數(shù)據(jù)同步，例如對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)的同步，一般

44、采用“推”的數(shù)據(jù)同步方式，通過(guò)相應(yīng)的數(shù)據(jù)庫(kù)連接器工具將數(shù)據(jù)直接同步到應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)中。如果應(yīng)用系統(tǒng)方面不希望采用數(shù)據(jù)庫(kù)同步方式，也可以通過(guò)調(diào)用WEBSERVICE接口獲取用戶信息。3.4. 用戶屬性自定義、用戶信息傳遞l AM產(chǎn)品支持用戶屬性自定義擴(kuò)展；l 通過(guò)連接器可以實(shí)現(xiàn)不同數(shù)據(jù)庫(kù)之間的屬性映射功能；3.5. SAML協(xié)議和OAUTH協(xié)議使用，選擇和考慮3.5.1. SAML協(xié)議說(shuō)明SAML即安全斷言標(biāo)記語(yǔ)言，英文全稱是Security Assertion Markup Language。它是一個(gè)基于XML的標(biāo)準(zhǔn)，用于在不同的安全域(security domain)之間交換認(rèn)證和授權(quán)數(shù)據(jù)。

45、如果用戶需要跨平臺(tái)訪問(wèn)其他應(yīng)用系統(tǒng)時(shí)通過(guò)聯(lián)邦認(rèn)證實(shí)現(xiàn)單點(diǎn)登陸。詳見下圖：. SAML與WSA融合模式統(tǒng)一認(rèn)證授權(quán)的網(wǎng)頁(yè)端采用SAML與WSA融合模式： 為簡(jiǎn)化業(yè)務(wù)系統(tǒng)處理SAMLResponse的難度，WSA中添加了對(duì)SAMLResponse的處理機(jī)制； WSA將自動(dòng)對(duì)SAMLResponse進(jìn)行簽名認(rèn)證等處理； WSA將自動(dòng)解析SAMLResponse，并將相關(guān)屬性、用戶組信息封裝到header中； 通過(guò)header進(jìn)行屬性傳遞，方便業(yè)務(wù)系統(tǒng)的調(diào)用； 此種方式需要SP中部署有AM5；. SAML和OAuth協(xié)議用戶統(tǒng)一認(rèn)證授權(quán)的用戶登錄過(guò)程，一般可細(xì)分為認(rèn)證與授權(quán)兩個(gè)過(guò)程：n 統(tǒng)一認(rèn)證ü 校驗(yàn)用戶名是否存在ü 校驗(yàn)密碼是否正確ü 強(qiáng)認(rèn)證方面認(rèn)證ü 代表協(xié)議 SAMLn 統(tǒng)一授